41 % des entreprises françaises sont moins matures en termes de cybersécurité́ qu’elles ne le pensent, selon une étude.
La perception des entreprises sur leur niveau de maturité ne reflète pas la réalité du terrain car elles sont nombreuses à ne pas avoir mis en place les mesures et les dispositifs indispensables pour l’atteindre, relève cette intéressante étude* de PAC réalisée avec le CRIP. Ainsi, les entreprises ayant déclaré́ avoir une maturité́ en cybersécurité́ « très elevée » ou « élevée » (53 % au total) ne sont pas du tout dans les clous (voir graphique ci-dessus). Le budget dédié à la cybersécurité reste assez restreint. 62 % des entreprises consacrent moins de 5 % de leur budget IT à la cybersécurité́.
Des lacunes d’équipement
L’enquête met en évidence des lacunes au niveau de la mise en place des technologies essentielles. Par exemple, les dispositifs de gouvernance, risque, et conformité́ (GRC – Gestion de la Relation Client), indispensables à la fois pour la conformité réglementaire et pour la bonne image des entreprises, ne sont exploités que par environ une entreprise sur deux. Il en va de même pour les dispositifs de sécurité du Cloud utilisés seulement par 44 % des entreprises interrogées.
La situation est encore moins réjouissante avec les dispositifs de pointe de cybersécurité tels que les SOC (Security Operations Center) de nouvelle génération, le zero trust (SASE – Secure Access Service Edge, microsegmentation) ou une démarche « paswordless » généralisé, multifacteur (MFA) et contextuelle. Moins d’un tiers des entreprises interrogées les ont mis en place. Il est assez étonnant de constater que les entreprises qui n’ont pas prévu d’exploiter ces solutions l’expliquent par l’absence de valeur ajoutée de ces dispositifs, tandis que les entreprises équipées soulignent les nombreux bénéfices qu’elles ont pu constater.
Il faut noter aussi que l’engagement du Comex dans la prise de décisions concernant la cybersécurité reste faible : seulement 41 % des entreprises ayant mis en place une stratégie la décident au niveau de la direction générale et du Comex. Le manque est encore plus apparent en matière de suivi régulier avec un seul RSSI sur cinq qui reporte au Comex ou à la direction générale.
Malgré cela l’étude constate une évolution globale des approches. De plus en plus d’entreprises pensent en termes de cyber-résilience : environ une entreprise sur deux met en œuvre les dispositifs de gestion de crise et de cyber-résilience. En outre, une grande majorité des entreprises interrogées prévoit de rattraper son retard en investissement et souhaite accroître les dépenses dans les deux prochaines années, dont 52 % avec une augmentation de plus de 10 %.
*Cette étude PAC sur la cybersécurité en France a été rendue possible grâce au soutien de deux sponsors : Sopra Steria et Inetum / Illex International. Le partenariat avec le CRiP et l’engagement actif de ses membres dans l’enquête menée a permis d’élargir l’échantillon et assurer la fiabilité des résultats. L’échantillon est composé des 350 entreprises françaises, grandes entreprises (43 %) et ETI (54 %) de différents secteurs. Tous les participants sont impliqués dans la prise de décision sur les initiatives de leur entreprise concernant la cybersécurité́ (DSI, RSSI, directeur…).
